Kaip veikia "Windows Defender" naujoji operacinė apsauga (ir jo konfigūravimas)

2024 Autorius: Geoffrey Carr | [email protected]. Paskutinį kartą keistas: 2024-01-12 05:16

"Microsoft Fall Creators Update" pagaliau papildo "Windows" integruotą išnaudojimo apsaugą. Anksčiau turėjote tai ieškoti naudodami "Microsoft" EMET įrankį. Dabar jis yra "Windows Defender" dalis ir aktyvuota pagal numatytuosius nustatymus.

Kaip veikia "Windows Defender" apsauga

Mes ilgai rekomenduojame naudoti antivirusinę programinę įrangą, pvz., "Microsoft" patobulintą mažinimo patirties priemonę (EMET) ar labiau patogią "Malwarebytes Anti-Malware" programinę įrangą, kuri turi galingą kovos su piktnaudžiavimu funkciją (be kitų dalykų). "Microsoft" EMET yra plačiai naudojama didesniuose tinkluose, kuriuose ją gali sukonfigūruoti sistemos administratoriai, bet pagal numatytuosius nustatymus ji niekada nebuvo įdiegta, reikalinga konfigūracija ir vidutinių naudotojų supainioti sąsaja.

Tipiškos antivirusinės programos, pvz., "Windows Defender", naudoja virusų apibrėžimus ir euridiką, kad sugautų pavojingas programas, kol jie negalės veikti jūsų sistemoje. Apsaugos nuo išnaudojimo įrankiai iš tiesų užkerta kelią daugeliui populiarių išpuolių būdų, todėl jų pavojingos programos nepasiekia jūsų sistemoje. Jie įgalina tam tikrą operacinę sistemą apsaugoti ir blokuoti bendrąsias atminties naudojimo technologijas, taigi, jei aptikta išnaudoti panašaus elgesio, jie nutrauks procesą, kol nieko blogo neįvyks. Kitaip tariant, jie gali apsaugoti nuo daugybės nulinės dienos atakų, kol jie nepasikeis.

Tačiau jie gali sukelti suderinamumo problemas, todėl jų nustatymus gali tekti keisti skirtingoms programoms. Štai kodėl EMET paprastai buvo naudojamas įmonių tinkluose, kur sistemos administratoriai galėjo keisti nustatymus, o ne namų kompiuterius.

"Windows Defender" dabar apima daugybę tų pačių apsaugos, kurias iš pradžių rasta "Microsoft" EMET. Jie pagal numatytuosius nustatymus yra įgalinti visiems ir yra operacinės sistemos dalis. "Windows Defender" automatiškai nustato tinkamas skirtingų jūsų sistemoje veikiančių procesų taisykles. ("Malwarebytes" vis dar teigia, kad jų anti-exploit funkcija yra geresnė, ir mes vis dar rekomenduojame naudoti "Malwarebytes", tačiau gerai, kad "Windows Defender" dabar taip pat turi kai kuriuos iš šių integruotų.)

Ši funkcija automatiškai įjungiama, jei naujovintumėte "Windows 10" "Fall Creators Update", o EMET nebebus palaikoma. EMET net negali būti įdiegtas į kompiuterius, kuriuose veikia "Fall Creators Update". Jei jau įdiegėte EMET, jis bus pašalintas iš naujo.

"Windows 10" "Fall Creator Updates" taip pat apima susijusią saugumo funkciją "Controlled Folder Access". Ji skirta sustabdyti kenkėjišką programinę įrangą leidžiant tik patikimoms programoms keisti failus į jūsų asmeninių duomenų aplankus, pvz., "Dokumentai ir nuotraukos". Abi savybės yra "Windows Defender Exploit Guard" dalis. Tačiau valdoma aplanko prieiga neleidžiama pagal numatytuosius nustatymus.

Kaip patvirtinti, kad apsauga yra įjungta

Ši funkcija automatiškai įjungiama visiems "Windows 10" kompiuteriams. Tačiau ji taip pat gali būti perjungta į "Audito režimą", leidžianti sistemos administratoriams stebėti žurnalą apie tai, ką "Exploit Protection" padarė, norėdamas patvirtinti, kad tai nesukels jokių problemų, prieš tai leidžiant kritiniams kompiuteriams.

Norėdami patvirtinti, kad ši funkcija įjungta, galite atidaryti "Windows Defender" saugos centrą. Atidarykite meniu Pradėti, ieškokite "Windows Defender" ir spustelėkite "Windows Defender" saugos centro spartųjį klavišą.

Šoninėje juostoje spustelėkite lango formos piktogramą "Programos ir naršyklės valdymas". Slinkite žemyn ir pamatysite skyrių "Apsauga nuo išnaudojimo". Ji informuos jus, kad ši funkcija yra įjungta.

Jei nematote šio skyriaus, kompiuteris tikriausiai dar nėra atnaujintas iki Fall Creator Update.

Kaip konfigūruoti "Windows Defender" apsaugą

Įspėjimas: Tikriausiai nenorite konfigūruoti šios funkcijos. "Windows Defender" siūlo daugybę techninių galimybių, kurias galite koreguoti, ir dauguma žmonių nežino, ką jie daro. Ši funkcija sukonfigūruota naudojant protingus numatytuosius nustatymus, kurie padės išvengti problemų, o "Microsoft" gali laikinai atnaujinti savo taisykles. Čia pateiktos parinktys visų pirma yra skirtos padėti sistemos administratoriams kurti programinės įrangos taisykles ir išdėstyti juos įmonės tinkle.

Jei norite konfigūruoti "Exploit Protection", eikite į "Windows Defender" saugos centrą> Programa ir naršyklės valdiklis, slinkite žemyn ir spustelėkite "Išnaudoti apsaugos nustatymus", esantį "Apsauga nuo išnaudojimo".

Čia pamatysite du skirtukus: Sistemos nustatymai ir Programos nustatymai. Sistemos nustatymai reguliuoja numatytuosius nustatymus, naudojamus visoms programoms, o Programos nustatymai valdo atskirus nustatymus, naudojamus kelioms programoms. Kitaip tariant, Programos nustatymai gali nepaisyti atskirų programų sistemos nustatymų. Jie gali būti labiau ribojantys ar mažiau ribojantys.

Ekrano apačioje galite spustelėti "Eksportuoti nustatymus", norėdami eksportuoti savo nustatymus kaip.xml failą, kurį galite importuoti kitose sistemose. Oficialūs "Microsoft" dokumentai suteikia daugiau informacijos apie taisyklių diegimą naudodami "Group Policy" ir "PowerShell".

Sistemos nustatymų skirtuko lape matysite šias parinktis: Valdymo srauto apsauga (CFG), Duomenų vykdymo prevencija (DEP), Duomenų įjungimas atsitiktine tvarka (privalomas ASLR), Atsitiktinių atminčių paskirstymas (apatinis ASLR), Tikrinti išimčių grandines. (SEHOP) ir patikrinkite krūvos vientisumą. Jie visi yra pagal numatytuosius nustatymus, išskyrus "Force randomisation for images" (privalomas ASLR) parinktį. Tai yra tikėtina priežastis, nes priverstinis ASLR sukelia problemų su kai kuriomis programomis, todėl, jei ją įjungsite, gali kilti suderinamumo problemų priklausomai nuo paleistų programų.

Vėlgi, jūs neturėtumėte paliesti šių parinkčių, nebent žinotumėte, ką darai. Numatytoji reikšmė yra protinga ir yra pasirinkta dėl priežasties.

Sąsaja suteikia labai trumpą santrauką apie tai, kas yra kiekviena galimybė, bet jūs turėsite atlikti tam tikrą tyrimą, jei norite sužinoti daugiau. Anksčiau mes paaiškinome, ką DEP ir ASLR atlieka čia.

Spustelėkite skirtuką "Programos nustatymai" ir pamatysite įvairių programų su pasirinktiniais nustatymais sąrašą. Šios parinktys leidžia panaikinti bendrąsias sistemos nuostatas. Pavyzdžiui, jei sąraše pasirinksite "iexplore.exe" ir spustelėkite "Redaguoti", pamatysite, kad taisyklė čia aktyviai įgalina privalomą ASLR procesą "Internet Explorer", nors jis nėra įjungtas pagal numatytuosius nustatymus visoje sistemoje.

Negalima pažeisti šių integruotų taisyklių tokioms procedūroms kaip runtimebroker.exe ir spoolsv.exe. "Microsoft" juos įtraukė dėl priežasčių.

Galite pridėti individualias programas, spustelėdami "Pridėti programą, kad galėtumėte tinkinti". Galite arba "Pridėti programos pavadinimu" arba "Pasirinkite tikslią failo kelią", tačiau tikslesnis failo maršruto nustatymas yra daug tikslesnis.

Pridėjus, galite rasti ilgą nuostatų sąrašą, kuris nebus prasmingas daugumai žmonių. Visą čia pateikiamų nustatymų sąrašą galima rasti čia: savavališko kodo apsauga (ACG), mažų vientisumo vaizdų blokavimas, blokuoti nuotolinius vaizdus, blokuoti nepatikimus šriftus, kodo vientisumo apsaugą, valdymo srauto apsaugą (CFG), duomenų vykdymo prevenciją (DEP), išjungti pratęsimo taškus, Išjungti Win32k sistemos skambučius, Neleisti vaikų procesų, Eksporto adresų filtravimas (EAF), Atleidimas nuo atsitiktinių atrankos vaizdams (privalomas ASLR), Importuotų adresų filtravimas (IAF), Atsitiktinių atminčių paskirstymas (apatinis ASLR), Simuliuojamas vykdymas (SimExec), Patvirtinti API paskambinimą (CallerCheck), patvirtinti išimčių grandines (SEHOP), patvirtinti rankenų naudojimą, patvirtinti kuro vientisumą, patvirtinti vaizdo priklausomybės vientisumą ir patvirtinti statinių vientisumą (StackPivot).

Vėlgi neturėtumėte paliesti šių parinkčių, nebent esate sistemos administratorius, norintis užrakinti programą ir tikrai žinote, ką darai.

Kaip testą, mes įgalinome visas iexplore.exe parinktis ir bandėme jį paleisti. "Internet Explorer" parodė klaidos pranešimą ir atsisakė paleisti. Mes net nematėme "Windows Defender" pranešimo, kuriame paaiškinta, kad "Internet Explorer" neveikia dėl mūsų nustatymų.

Negalima tiesiog aklai bandyti apriboti programas arba sukelti panašių problemų jūsų sistemoje. Jiems bus sunku pašalinti triktis, jei nepamiršsite, kad pakeitėte ir parinktis.